Microsoft hat die Malware analysiert, die Unternehmen weltweit bedroht. Es handelt sich um eine neue Variante der Ransomware Petya, die vor über einem Jahr in Umlauf kam und vor allem auf Personalabteilungen abzielte. Die neue Ransomware ist jedoch wesentlich raffinierter und kann sich wie ein Wurm in Netzwerken verbreiten. Ihre Verschlüsselungsmethoden hängen von den Berechtigungen ab, die sie erlangen kann. Sie versucht auch, den Master Boot Record (MBR) zu überschreiben und dann einen Neustart auszulösen.
Inzwischen waren Infektionen in über 60 Ländern zu beobachten. Die ersten Infektionen aber traten in der Ukraine auf, wo mehr als 12.500 Rechner dem Cyberangriff ausgesetzt waren. Laut Microsoft weisen Telemetriedaten nun darauf hin, dass sich die Ransomware dort über Updates für das Programm MEDoc verbreitete. Diese Software für Steuerbuchhaltung kommt bei Unternehmen zum Einsatz, die mit der ukrainischen Regierung zusammenarbeiten.
Auch die ukrainische Cyber-Polizei wies auf diesen Zusammenhang hin. Der britische Sicherheitsforscher Marcus Hutchins, der wesentlich zur Entschärfung der Ransomware WannaCry beitrug, sieht den ukrainischen Softwarehersteller selbst als Opfer eines Hackerangriffs, der die Malware dann unwissentlich über seine regulären Updates verbreitet hat.
Die neue Petya-Variante kann sich auch durch den Exploit EternalBlue, der auch von der NSA zu Spionagezwecke genutzt wurde, über eine bekannte SMB-Lücke in Windows verbreiten, wie das Microsoft Malware Protection Center (MMPC) in einem Blogeintrag ausführt. EternalBlue verhalf zuvor schon der Ransomware WannaCry zu rasend schneller Verbreitung auf weltweit über 200.000 Windows-PCs. Darüber hinaus nutzt die neue Ransomware als weiteren Exploit EternalRomance.
Bei beiden Exploits handelt es sich um von der Hackergruppe Shadow Brokers öffentlich gemachte Exploits des US-Auslandsgeheimdienstes NSA. Diese beiden Exploits erlauben die laterale Verbreitung der neuen Ransomware in einem Netzwerk. Microsoft weist darauf hin, dass die zugrundeliegenden Schwachstellen am 14. März durch das Sicherheitsupdate MS17-010 behoben wurden. Als Schutzmaßnahme empfiehlt es Organisationen dringend, diesen Patch anzuwenden oder aber SMBv1 zu deaktivieren, sofern das nicht zeitnah möglich ist.
Das MMPC empfiehlt Unternehmen außerdem Windows Defender Advanced Threat Protection (Windows Defender ATP) als Lösung für eine frühe Erkennung sowie Maßnahmen nach einer Kompromittierung. Organisationen könnten zudem Device Guard einsetzen, um nur als vertrauenswürdig eingestufte Anwendungen zu erlauben und Malware effektiv auszuschließen.
Microsofts Sicherheitsexperten nennen außerdem eine Reihe von Indikatoren, die auf eine Kompromittierung hinweisen. Neben Datei-Indikatoren führen sie auch Befehlszeilen auf für Umgebungen mit Protokollierung, in denen die Suche nach Befehlszeilen möglich ist. In Netzwerken sind außerdem bestimmte Subnet-Scans zu beobachten, die den TCP-Port 139 und den TCP-Port 445 betreffen.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Mehr als die Hälfte aller Infostealer-Angriffe treffen Unternehmensrechner.
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
